VYSOKE
´ UCˇENI´ TECHNICKE´ V BRNEˇ
BRNO UNIVERSITY OF TECHNOLOGYFAKULTA INFORMAC
ˇ NI´CH TECHNOLOGII´
U
´ STAV INFORMACˇNI´CH SYSTE´MU˚
FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS
ZACHOVA
´ NI´ VALIDITY MS EXCHANGE HLAVICˇEK
NA FILTRUJI´CI´M SMTP PROXY-SERVERU
PRESERVING VALIDITY OF MS EXCHANGE HEADERS ON FILTERING SMTP PROXY-SERVER
BAKALA
´ RˇSKA´ PRA´CE
BACHELOR’S THESISAUTOR PRA
´ CE
PETER SZABO
´
AUTHOR
VEDOUCI´ PRA
´ CE
Ing. JAN RICHTER
SUPERVISOR
Abstrakt
Cílem této práce je lokalizace a návrh optimálního řešení problému, způsobujícího vzájem-nou nekompatibilitu SMTP proxy-serveru AVG Linux Server Edition a poštovního serveru Microsoft Exchange. Práce popisuje různé možnosti řešení tohoto problému a určuje tu nejvhodnější z nich. V teoretické části poskytuje tato práce základní přehled o protokolu SMTP a o protokolech serveru Microsoft Exchange. Dále popisuje nejčastější hrozby týkajíci se e-mailové komunikace uživatelů a různé způsoby ochrany před nimi.
Abstract
The aim of this thesis is the localization and finding an optimal solution for a compatibility issue between two products, the AVG Linux Server Edition SMTP proxy-server and the Microsoft Exchange e-mail server. There are several possible solutions of this issue described and the most effective one is suggested as the final solution. In the first part, this thesis is providing a basic overview of the SMTP protocol and the protocols used in the Microsoft Exchanage server. The most common threats in the e-mail communication are also discussed here and several available solutions of protection against them are presented.
Klíčová slova
proxy-server, SMTP, server Exchange, e-mail, malware, spam, phishing, antivirus, šifrování e-mailových zpráv, postmarking
Keywords
proxy-server, SMTP, Exchange Server, e-mail, malware, spam, phishing, antivirus, e-mail encryption, postmarking
Citace
Peter Szabó: Zachování validity MS Exchange hlaviček na filtrujícím SMTP proxy-serveru, bakalářská práce, Brno, FIT VUT v Brně, 2012
Zachování validity MS Exchange hlaviček na
filtru-jícím SMTP proxy-serveru
Prohlášení
Prohlasuji, že jsem tuto bakalářskou práci vypracoval samostatně pod vedením pánů Ing. Lubomíra Kaštovského a Ing. Jana Richtera
. . . . Peter Szabó 15. května 2012
Poděkování
Rád bych poděkoval firmě AVG Technologies CZ, s. r. o., která mi umožnila tuto práci vy-tvořit a poskytla mi technické prostředky k její realizaci. Dále bych rád poděkoval Ing. Lu-bomíru Kaštovskému z firmy AVG Technologies, který mi po celou dobu poskytoval užitečné odborné rady týkající se produktů firmy AVG Technologies a různých částí této práce. Velké poděkování patří i vedoucímu mé práce, Ing. Janovi Richterovi, za jeho rady především při psaní této práce.
c
Peter Szabó, 2012.
Tato práce vznikla jako školní dílo na Vysokém učení technickém v Brně, Fakultě informa-čních technologií. Práce je chráněna autorským zákonem a její užití bez udělení oprávnění autorem je nezákonné, s výjimkou zákonem definovaných případů.
Obsah
1 Úvod 3
2 Protokoly SMTP/ESMTP a Microsoft Exchange protokol 4
2.1 Protokol SMTP/ESMTP . . . 4
2.1.1 Dôležité príkazy protokolu SMTP . . . 4
2.1.2 Príklad komunikácie pomocou protokolu SMTP . . . 6
2.1.3 Významné rozšírenia protokolu SMTP . . . 7
2.2 Protokoly servera Microsoft Exchange . . . 7
2.2.1 Protokoly RPC Primer a RPC Storage and Retrieval . . . 7
2.2.2 Protokoly na konverziu dát a súborov . . . 8
2.2.3 Protokoly služby ActiveSync . . . 8
2.2.4 Protokoly Directory services a Profile services . . . 8
2.2.5 Protokoly Name Service Provider Interface . . . 8
2.2.6 Rozšírenia protokolov založených na štandardoch . . . 8
2.2.7 Protokoly na spracovanie správ . . . 9
2.2.8 Rozšírenia protokolu WebDAV . . . 9
2.2.9 Protokoly založené na webových službách a na protokole HTTP . . 9
3 Možnosti ochrany e-mailovej komunikácie a používateľov 10 3.1 Hrozby pri e-mailovej komunikácii . . . 10
3.1.1 Malware . . . 11
3.1.2 Spam . . . 12
3.1.3 Phishing . . . 13
3.2 Ochrana e-mailovej komunikácie na strane používateľa . . . 14
3.3 Ochrana e-mailovej komunikácie na strane servera . . . 15
3.3.1 Použitie rôznych antivírusových riešení u klientov a na serveroch . . 15
3.3.2 Viacnásobná antivírusová ochrana . . . 15
3.4 Ochrana podpisovaním a šifrovaním správ . . . 16
3.4.1 Protokol S/MIME . . . 17
3.4.2 Protokol OpenPGP . . . 18
4 Ochrana e-mailovej komunikácie pomocou SMTP proxy-servera 19 4.1 Možnosti nasadenia SMTP proxy-servera . . . 19
4.2 Výhody a nevýhody použitia SMTP proxy-servera . . . 20
4.3 Možnosti filtrovania prechádzajúcich e-mailových správ na proxy-serveri . . 20
5 Realizácia proxy-servera pomocou AVG Linux Server Edition 23
5.1 Popis produktu AVG Linux Server Edition . . . 24
5.2 Testovacie prostredie . . . 24
5.2.1 Zapojenie, nastavenie a činnosť proxy-servera . . . 24
5.2.2 Spôsob testovania . . . 26
5.2.3 Zistené problémy . . . 26
5.3 Zdroj problému nevalidných e-mailových správ . . . 26
5.3.1 Postmarking správ pomocou hlavičiek HashedPuzzle a X-CR-PuzzleID . . . 27
5.4 Zachovanie validity správ . . . 27
5.4.1 Prepočítavanie podpisu e-mailových správ . . . 28
5.4.2 Test algoritmu na výpočet podpisu e-mailových správ . . . 29
5.4.3 Odstránenie SMTP hlavičiek e-mailových správ s podpisom . . . 30
5.4.4 Najideálnejšie riešenie v prípade skúmaného produktu . . . 30
6 Záver 32 A Ukážky e-mailových správ 35 A.1 Podvodná správa obsahujúca phishing . . . 35
A.2 Hlavičky testovacích e-mailových správ . . . 36
A.2.1 Doručená, neinfikovaná e-mailová správa odoslaná z klienta Thunder-bird bez zapojeného SMTP proxy-servera . . . 36
A.2.2 Doručená, infikovaná e-mailová správa odoslaná z klienta Thunder-bird so zapojeným SMTP proxy-serverom . . . 36
A.2.3 Doručená, infikovaná e-mailová správa odoslaná z klienta Outlook bez zapojeného SMTP proxy-servera . . . 37
A.2.4 Doručená, neinfikovaná e-mailová správa odoslaná z klienta Outlook so zapojeným SMTP proxy-serverom . . . 37
A.2.5 Nedoručená, infikovaná e-mailová správa odoslaná z klienta Outlook so zapojeným SMTP proxy-serverom . . . 38
B Konfiguračné súbory 39 B.1 Ukážka časti konfiguračného súboru programu avgtcpd . . . 39
C Obrázky 40 C.1 Schéma testovacej počítačovej siete . . . 40
C.2 Zapnutie generovania podpisov v odosielaných správach v aplikácii Outlook 2007 . . . 41
D Tabuľky 42 D.1 Zhrnutie testovacích e-mailov s infikovaným obsahom . . . 42
D.2 Výsledky testov generovania podpisu e-mailových správ . . . 43
Kapitola 1
Úvod
E-mailová komunikácia hrá v dnešnej dobe dôležitú úlohu predovšetkým pri každodennej firemnej komunikácii, no nemenej dôležitá je aj pri komunikácii osobného charakteru. Je preto nesmierne dôležité, aby bola čo najviac spoľahlivá. Spoľahlivosť e-mailovej komuniká-cie ale často ohrozujú rôzne faktory, pred ktorými je potrebné sa chrániť. Ide predovšetkým o spam, phishing a malware. Na trhu existuje množstvo rôznych nástrojov a metód, ktoré poskytujú účinnú ochranu pred týmito hrozbami. Táto práca má za cieľ priblížiť čitateľovi tieto hrozby a rôzne možnosti ochrany voči nim. Práca ďalej predvádza príklad konkrét-neho komerčného riešenia v ktorom lokalizuje a rieši problémy týkajúce sa spoľahlivosti doručovania e-mailových správ.
Práca v prvej časti kapitoly 2 pojednáva o protokole SMTP, základnom stavebnom prvku celého systému e-mailovej komunikácie, o jeho príkazoch a rozšíreniach. Druhá časť tejto kapitoly stručne popisuje protokoly a ich rozšírenia používané serverom Microsoft Exchange a klientskými aplikáciami, ktorí s ním komunikujú. Ďalej kapitola 3 poskytuje základný prehľad o rôznych hrozbách číhajúcich hlavne na používateľov e-mailovej komu-nikácie, no často aj na administrátorov, ktorý jej funkčnosť zabezpečujú. Ďalej sa v tejto kapitole popisujú rôzne spôsoby ochrany používateľov a serverov voči spomínaným hroz-bám. Kapitola 4 sa zameriava na jeden konkrétny druh ochrany e-mailovej komunikácie, a to pomocou nasadenia proxy-servera, ktorý prechádzajúce e-mailové správy kontroluje a filtruje. Na záver sa práca v kapitole 5 zaoberá produktom AVG Linux Server Edition, ktorý poskytuje antivírusovú a antispamovú ochranu pre poštové servery prostredníctvom SMTP proxy-servera.
Hlavným cieľom tejto práce, ktorý je obsiahnutý v kapitole 5, je lokalizácia a návrh efektívneho riešenia problému spôsobujúceho nekompatibilitu produktuAVG Linux Server Edition s poštovým serverom Microsoft Exchange, kvôli ktorej dochádza k nedoručovaniu niektorých e-mailových správ prechádzajúcich cez proxy server obsiahnutý v tomto pro-dukte. Práca popisuje samotný proces zisťovania a odhaľovania spomínaného problému a popisuje rôzne možnosti jeho riešenia. Jednotlivé možnosti riešenia ďalej porovnáva a snaží sa poukázať na to najefektívnejšie a najpraktickejšie z nich.
Kapitola 2
Protokoly SMTP/ESMTP a
Microsoft Exchange protokol
ProtokolSMTP/ESMTPslúži k odosielaniu elektronickej pošty (e-mailov). Klient, ktorý odosiela e-mail komunikuje s poštovým serverom pomocou tohoto protokolu. Rovnaký pro-tokol používajú aj samotné poštové servery predávajúce si e-maily medzi sebou. [13] Mo-mentálne je prevažne používaná verziaESMTP, ktorá je vylepšeným a rozšíreným nasle-dovníkom staršieho protokolu SMTP.
Poštový server počúva štandardne naTCPporte25. Po inicializácii pripojenia klientom server odošle uvítaciu správu obsahujúcu informácie o sebe, a klientovi tým oznamuje, že je pripravený na komunikáciu. Klient následne začne so serverom komunikovať a pomocou štandardných príkazov predá odosielanú správu serveru. Server ju po prijatí buď rovno uloží do e-mailovej schránky príjemcu (ak je schránka príjemcu umiestnená na danom serveri), alebo prepošle na príslušný server, na ktorom sa e-mailová schránka príjemcu nachádza. [27]
2.1
Protokol SMTP/ESMTP
Jeho podrobná pôvodná špecifikácia sa nachádza v dokumenteRFC-821 [21] z roku 1982. Protokol jecase insensitive t. j. nezáleží na veľkosti znakov a server by ich nemal rozlišovať. Každý príkaz sa ukončuje sekvenciou znakov <CR><LF> (Carriage Return – ASCII 0x0D,
Line Feed –ASCII 0x0A).
Pôvodná verzia protokolu (viď [21]) obsahovala striktne štrnásť príkazov, každý zložený zo štyroch znakov. Protokol bol časom upravený a rozšírený o nové možnosti tak, aby vyhovoval dnešným požiadavkám týkajúcich sa predovšetkým bezpečnosti e-mailovej ko-munikácie.
2.1.1 Dôležité príkazy protokolu SMTP
Protokol SMTP podporuje nasledovné základné príkazy: HELO, EHLO, MAIL,
RCPT,DATA,RSET,VRFY,EXPN,NOOP,QUITa HELP. [13]
Príkazy HELO a EHLO
Tiento príkazy slúžia na inicializáciu komunikácie medzi klientom a serverom a súčasne na identifikáciu klientského počítača. Klient posiela príkazHELO/EHLO a za ním
med-zerou (<SP> Space – ASCII 0x20) oddelenú svoju identifikáciu (FQDN adresa klienta1).
V prípade, že sa komunikácia inicializuje príkazom EHLO, server umožní klientovi použiť rozšírenia protokoluSMTP, ktoré podporuje a klientovi odpovie zaslaním zoznamu týchto rozšírení. Ak server rozšírenia neakceptuje, klient obdrží oznam, že príkaz EHLO nie je podporovaný [14]. Ak ale klient inicializuje komunikáciu príkazom HELO, ide o komuni-káciu v pôvodnej verzii protokolu SMTP a je možné používať iba základné príkazy bez rozšírení.
Príklad zápisu príkazu:
HELO client.example.com<CR><LF>
Príkaz MAIL
Príkazom MAILsa začína samotný proces prenosu e-mailovej správy. Ako prvý parame-ter príkazu musí byť povinne kľúčové slovo FROM: a následne v druhom parametri sa špecifikuje odosielateľ správy (e-mailová adresa odosielateľa správy obalená špicatými zá-tvorkami).
Príklad zápisu príkazu:
MAIL FROM: <[email protected]><CR><LF>
Príkaz RCPT
Tento príkaz slúži na špecifikáciu jedného alebo viacerých príjemcov správy. Prvý parameter príkazu je kľúčové slovoTO: a za ním nasleduje e-mailová adresa príjemcu správy obalená špicatými zátvorkami. Ak je príjemcov správy viacero, príkaz RCPTsa zadáva viackrát – pre každého príjemcu zvlášť.
Príklad zápisu príkazu:
RCPT TO: <[email protected]><CR><LF>
Príkaz DATA
Samotný text správy sa zadáva príkazom DATA. Tento príkaz nemá žiadne parametre a po jeho zadaní SMTP server čaká na zadanie textu správy, ktorý musí končiť špeciálnou sekvenciou znakov<CR><LF>.<CR><LF>.
Príklad zápisu príkazu:
DATA<CR><LF>
Test message from John Doe to Jane Doe.<CR><LF> .<CR><LF>
Príkaz RSET
Príkazom RSET sa ruší aktuálna transakcia, teda anulujú sa všetky príkazy zadané od odoslania poslednej správy, prípadne od vytvorenia spojenia so serverom ak sa ešte žiadna správa neodosielala (okrem príkazu HELO). Príkaz nemá žiadne parametre a ruší vždy aktuálne prebiehajúcu transakciu.
1
FQDN(Fully Qualified Domain Name, plne kvalifikované doménové meno) je jednoznačné domé-nové meno, ktoré absolútne udáva pozíciu uzla v stromovej hierarchii DNS [20]
Príkaz VRFY
Tento príkaz slúži na overenie, či zadaný reťazec je prihlasovacie meno (login) existujúceho používateľa. Ak áno, server vráti celé meno používateľa aj s jeho e-mailovou adresou. Tento príkaz predstavuje bezpečnostné riziko a môže slúžiť na získanie e-mailových adries použí-vateľov napríklad pre účely rozosielania spamu[16]. Na väčšine serverov je preto vypnutý alebo povolený iba pre autentizovaných používateľov.
Príklad zápisu príkazu:
VRFY john.doe<CR><LF>
Príkaz EXPN
PríkazEXPNoveruje existenciu zadaného názvu zoznamu adries (mailing list). Ak zoznam existuje, server vráti zoznam adries v ňom zahrnutých. Tento príkaz podobne ako aj prí-kaz VRFY predstavuje bezpečnostné riziko, pomocou ktorého je možné získať zoznam e-mailových adries[16]. Preto sa táto funkcia na väčšine serveroch taktiež vypína, prípadne povoľuje sa iba pre autentizovaných používateľov.
Príklad zápisu príkazu:
EXPN mailing.list.name<CR><LF>
Príkaz NOOP
PríkazNOOPnemá žiadny parameter a nijako neovplyvňuje odosielanie správy. Server na tento príkaz iba pošle odpoveďOK. Príkaz môže slúžiť napríklad na overenie, či je spojenie so serverom stále aktívne.
Príkaz QUIT
PríkazQUIT slúži na ukončenie spojenia. Server po prijatí tohoto príkazu pošle odpoveď
OKa následne ukončí spojenie s klientom. Príkaz nemá žiadny parameter. 2.1.2 Príklad komunikácie pomocou protokolu SMTP
S: 220 smtp.example.com Simple Mail Transfer Service Ready C: HELO client.example.com S: 250 Hello client.example.com C: MAIL FROM:<[email protected]> S: 250 OK C: RCPT TO:<[email protected]> S: 250 OK C: DATA
S: 354 Send message content; end with <CRLF>.<CRLF> C: Test message from John Doe to Jane Doe.
C: .
S: 250 OK, message accepted for delivery: queued as 12345 C: QUIT
2.1.3 Významné rozšírenia protokolu SMTP
Medzi najvýznamnejšie rozšírenia protokolu SMTP patria nasledovné: 8BITMIME,
AUTH,STARTTLS,SMTPUTF8.
Rozšírenie AUTH
Pomocou tohoto rozšírenia môže server vyžadovať od klienta aby sa autentizoval pred tým, ako začne odosielať e-maily. Taktiež použitie príkazov VRFY a EXPN (viď 2.1.1) môže byť z bezpečnostných dôvodov limitované na použitie až po úspešnej autentizácii. Pou-žitím autentizácie sa zabráni tomu, aby pomocou daného servera odosielali správy cudzí ľudia (typicky spameri) [26]. Možností autentizácie je niekoľko: PLAIN,LOGIN, OTP,
DIGEST-MD5,KERBEROS,ANONYMOUS. [5]
Rozšírenie STARTTLS
Toto rozšírenie používaTLS (Transport Layer Security), ktoré rozširuje komunikáciuTCP o šifrovanie pre zaistenie súkromia a integrity správ. Hlavným účelom tohoto rozšírenia je zaistenie súkromia komunikácie medzi klientom a serverom a taktiež overuje totožnosť da-ného servera. Ďalšou užitočnou možnosťou je nasadenie šifrovania v kombinácii s rozšírením
AUTHv prípade overovania metódouPLAIN. Pri tejto metóde sa totiž heslo používateľa posiela v otvorenej textovej podobe, čo je možné bez šifrovania spojenia ľahko zneužiť. [5]
2.2
Protokoly servera Microsoft Exchange
Microsoft Exchange server používa množstvo rôznych protokolov na komunikáciu s ostat-nými produktami firmy Microsoft. Patria k nim rôzne štandardné protokoly ako sú napríklad SMTP, POP3, IMAP a pod., ich štandardné aj neštandardné rozšírenia, no aj špeciálne protokoly používané výlučne na komunikáciu medzi produktami firmy Microsoft. [18] 2.2.1 Protokoly RPC Primer a RPC Storage and Retrieval
Do tejto skupiny patrí veľké množstvo protokolov (vyše 30), ktoré zabezpečujú prenos dát medzi klientmi a servermi. Protokoly RPC Primer dáta zoskupujú do väčších celkov a následne ich naraz prenášajú, pričom protokolyStorage and Retreival umožňujú ukladanie a získavanie správ týkajúcich sa kalendárov, úloh a kontaktov používateľa. [18]
Do skupiny RPC Primer patria nasledovné najdôležitejšie protokoly: Wire Format Protocol,Remote Operations (ROP) List and Encoding Protocol,Store Object Protocol, Message and Attachment Object Protocol a Table Object Protocol. Ich podrobný popis je k dispozícii v kap. 2.2.2.1 v [18].
Skupinu RPC Storage and Retreival Protocols tvoria protokoly umožňujúce ukladanie a získavanie správ týkajúcich sa kalendárov, úloh a kontaktov používateľa [18]. Ide predovšet-kým o tieto protokoly:Best Body Retrieval Algorithm,Configuration Information Protocol, E-Mail Object Protocol, Reminder Settings Protocol, E-Mail Rules Protocol,Offline Address Book (OAB) Public Folder Retrieval Protocol a Sha-ring Message Object Protocol. Kompletný zoznam týchto protokolov aj s ich stručným popisom je taktiež k dispozícii v [18], v kap. 2.2.2.2.
2.2.2 Protokoly na konverziu dát a súborov
Tieto protokoly umožňujú klientom a serverom konvertovať rôzne typy súborov a ďalších dát na formáty podporované serverom Microsoft Exchange [18]. Patria sem predovšetkým protokoly iCalendar to Appointment Object Conversion Algorithm, RFC2822 and MIME to E-Mail Object Conversion Algorithm, S/MIME E-Mail Object Algorithm,Rich Text Format (RTF) Compression Algorithma vCard to Con-tact Object Conversion Algorithm. Popis týchto protokolov sa nachádza v kap. 2.2.3 v [18].
2.2.3 Protokoly služby ActiveSync
Tieto protokoly umožňujú zdieľanie a synchronizáciu dát medzi serverom a mobilnými za-riadeniami. Poskytujú taktiež možnosť notifikácie klientov ak nastane nejaká zmena na serveri. Napríklad ak sa do schránky používateľa doručí nová e-mailová správa. [18] Ide napríklad o protokolyActiveSync Calendar Class Protocol,ActiveSync Command Reference Protocol, ActiveSync Contact Class Protocol, ActiveSync Data Ty-pes,ActiveSync E-Mail Class Protocol,ActiveSync HTTP Protocol,ActiveSync Short Message Service (SMS) ProtocolaActiveSync Tasks Class Protocol. Kom-pletný zoznam protokolov aj s ich popisom sa nachádza v kap. 2.2.4 v [18].
2.2.4 Protokoly Directory services a Profile services
Ide o protokoly umožňujúce klientom automatické zisťovanie a následné použitie konfigu-rácie e-mailového servera. Patrí sem konkrétne protokol Autodiscover HTTP Service Protocol, ktorý rozširuje službu DNS a adresárové služby tak, aby klientom poskytovali aj nastavenia e-mailového servera. Ďalej ide o protokol Autodiscover Publishing and Lookup Protocol umožňujúci klientom zistiť kde služba využívajúce predošlý protokol (Autodiscover HTTP service) beží. [18]
2.2.5 Protokoly Name Service Provider Interface
Tieto protokoly umožňujú klientom prístup k informáciám o adresáre kontaktov, používa-teľoch a skupinách používateľov prostredníctvom adresárovej služby. Slúžia napríklad na presmerovanie požiadaviek od klientov na príslušný adresárový server, či ako rozhranie pre klientov pristupujúcich k adresárovej službe prostredníctvom protokolu MAPI. [18] Patria sem napríklad protokoly Address Book Name Service Provider Interface (NSPI) Referral Protocol a Exchange Server Name Service Provider Interface (NSPI) Protocol. Ich popis spolu s popisom ostatných protokolov z tejto kategórie sa nachádza v kap. 2.2.6 v [18].
2.2.6 Rozšírenia protokolov založených na štandardoch
Server Exchange podporuje niekoľko rôznych štandardných protokolov pre e-mailovú komu-nikáciu ako sú napr. SMTP, POP3, IMAP4 a WebDAV a protokol LDAP pre adresárové služby. Tieto rozšírenia sa týkajú predovšetkým autentizácie a autorizácie používateľov pri-pájajúcich sa na server prostredníctvom týchto štandardných protokolov. Dokumentácie týchto rozšírení ďalej obsahujú zoznam príkazov spomínaných štandardných služieb, mieru ich podpory a popis ich funkčnosti na serveri Exchange. [18] Ide napríklad o protokoly
Directory Access Protocol (LDAP) Version 3 Extensions, Post Office Proto-col Version 3 (POP3) Extensions,Simple Mail Transfer Protocol (SMTP) Mail Submission ExtensionsaSMTP Protocol: AUTH LOGIN Extension. Pre podrob-nejšie informácie viď kap. 2.2.7 v [18].
2.2.7 Protokoly na spracovanie správ
Patria sem rôzne protokoly a algoritmy využívané na interpretáciu metadát v e-mailových správach.Journal Record Message File Formatpopisuje štruktúru e-mailových správ odosielaných zo servera Exchange.Spam Confidence Level ProtocolaPhishing War-ning Protocol slúžia na odhalenie e-mailových správ obsahujúcich spam, resp. phishing. A napokon E-Mail Postmark Validation Algorithm popisuje algoritmus slúžiaci na podpisovanie užitočných e-mailových správ a ich následné rozlíšenie od spamu. Tento algo-ritmus je významnou súčasťou problému riešeného v kapitole 5 tejto práce a je podrobnejšie popísaný v kapitole 5.3.1. [18]
2.2.8 Rozšírenia protokolu WebDAV
Protokol WebDAV (Web Distributed Authoring and Versioning Protocol) rozširuje protokol HTTP/1.1 o ďalšie hlavičky, metódy a pod. Umožňuje čítanie dát zo serverov a taktiež ich zapisovanie na ne (viď RFC 2518). Server Exchange protokol WebDAV ďalej rozširuje, a to napríklad týmito protokolmi:WebDAV Extensions for Calendar Support,WebDAV Extensions for Contacts Support,WebDAV Extensions for Documents Support,
WebDAV Extensions for E-Mail SupportaWebDAV Extensions for Search. [18] Kompletný zoznam týchto rozšírení aj s ich popisom je k dispozícii v kap. 2.2.9 v [18]. 2.2.9 Protokoly založené na webových službách a na protokole HTTP Tieto protokoly servera Exchange sú založené na implementácii protokolu HTTP/1.1. Pro-tokoly označované ako webové služby sú zase založené na implementácii protokolu WS-I Basic Profile 1.02 [18]. Patrí sem veľké množstvo protokolov, medzi inými aj Web
Ser-vice Configuration Protocol,Attachment Handling Web Service Protocol, Fol-der Sharing Web Service Protocol, Notifications Web Service Protocol, Push Notifications Web Service Protocol, Mailbox Search Web Service Protocol a
User Configuration Web Service Protocol. Kompletný zoznam protokolov aj s ich stručným popisom sa nachádza v kap. 2.2.10 v [18].
2
Kapitola 3
Možnosti ochrany e-mailovej
komunikácie a používateľov
V dnešnej dobe, keď nevyžiadaná pošta tvorí väčšinu svetovej e-mailovej komunikácie je ochrana proti vírusom, spamu a ďalším hrozbám veľmi dôležitá. Ako uvádza firmaSymantec Corporation vo svojej mesačnej správe1, vo februári 2012 tvoril spam až 68% všetkých odoslaných e-mailových správ. Toto číslo je pri tom relatívne nízke vzhľadom k štatistikám z roku 2010, keď v mesiaci august sa množstvo spamu vyšplhalo až na hodnotu vyše 92%
všetkých odoslaných e-mailových správ2.
Používateľom je preto potrebné poskytnúť dostatočnú ochranu pred nevyžiadanou poš-tou. Chrániť ich možno priamo na poštovom serveri, kde sa nevyžiadaná pošta automaticky zmaže, umiestni sa do samostatnej zložky, prípadne sa prítomnosť vírusu, spamu či inej hrozby vyznačí v predmete správy. Taktiež je možné prípadný vírus zo správy odstrániť a na túto akciu upozorniť v predmete alebo tele samotnej správy.
Používateľ sa môže samozrejme chrániť aj sám použitím antivírusového softvéru priamo vo svojom počítači, tablete či smartphone. V tomto prípade antivírusový software kontroluje správy počas ich prijímania z poštového servera a na prítomnosť hrozby používateľa včas upozorní.
3.1
Hrozby pri e-mailovej komunikácii
Pri používaní e-mailovej komunikácie na nás číha mnoho rôznych hrozieb. Z nich je v súčas-nosti najväčším a najrozsiahlejším problémom spam. Tieto správy sú pre skúseného použí-vateľa väčšinou neškodné. Skúsený používateľ totiž je schopný odhaliť potenciálne hrozby a nenechá sa teda oklamať a nalákať na rôzne podvody. V prípade menej skúsených použí-vateľov, ľudí bez informatického vzdelania ovládajúcich iba základné činnosti na počítači, je ale situácia úplne iná. Práve oni sú týmto hrozbám najviac vystavovaní.
Väčšina týchto hrozieb sa zameriava práve na neskúsených používateľov, ktorí majú tendenciu im ľahko podľahnúť. Stačí ich totiž nalákať pomocou predmetu e-mailovej správy sľubujúceho alebo ponúkajúceho na prvý pohľad zaujímavú skutočnosť a je relatívne jed-noduché ich tým oklamať.
1
http://www.symanteccloud.com/download.get?filename=SYMCINT_2012_02_February_FINAL.PDF 2
3.1.1 Malware
Malware je súhrnné označenie pre rôzne druhy škodlivého softvéru ako sú napr.počítačové vírusy,trójske kone,spyware a adware.
Malware je program, ktorý sa sám, bez vedomia používateľa, nainštaluje na napadnutý počítač. Jeho cieľom je často získať, upraviť alebo zmazať dáta uložené v ňom. Ďalšie druhy malware-u môžu mať za cieľ zneprístupniť napadnutý počítač pre vonkajší svet (servery) alebo naopak umožniť útočníkovi napadnutý počítač ovládať a použiť ho napríklad na účely počítačovej kriminality [10]. Typickým príkladom sú tzv.botnety3, kde sú tisícky až milióny počítačov napadnutých malwarom použitých napríklad na synchronizované DDoS4 útoky či rozosielanie spamu.
Malware sa môže šíriť rôznymi spôsobmi. Najčastejšie sa tak stáva pomocou infikova-ných USB kľúčov, webových stránok využívajúcich zraniteľnosti webových prehliadačov no taktiež pomocou e-mailov obsahujúcich infikované prílohy, prípadne odkazy na napadnuté webové stránky. V poslednom čase sa čoraz častejšie stretávame s útokmi škodlivého softvéru cez chat na rôznych sociálnych sieťach, kedy škodlivý softvér z napadnutého počítača rozo-siela pochybné odkazy používateľom zo zoznamu kontaktov napadnutého používateľa.
Počítačové vírusy
Jednoznačne najznámejšou a najobávanejšou počítačovou hrozbou medzi bežnými použí-vateľmi sú počítačové vírusy. Pojmom
”počítačový vírus“ sa medzi laickými používateľmi
často nesprávne označujú všetky typy malwaru. V skutočnosti ale ide iba o jednu z pod-skupín súhrnne označovaných akomalware.
Napadnutie počítačovým vírusom môže mať rôzne následky:
• Môžu byť
”nedeštruktívne“ a používateľa iba nejakým spôsobom obťažovať a
ob-medzovať: zobrazovať obrázky, animácie, správy, prehrávať hudbu alebo zvukové efekty. . . Takéto útoky sú väčšinou neškodné a ich cieľom je iba vystreliť si z pou-žívateľa, prípadne ho upozorniť na nejakú tému alebo udalosť. [10]
• Existujú ale aj tzv.
”deštruktívne“ vírusy spôsobujúce používateľovi oveľa väčšie
pro-blémy. Tieto vírusy môžu mať za cieľ odcudziť citlivé dáta, prípadne ich nejakým spôsobom poškodiť (vymazať alebo náhodne upraviť obsah súborov, naformátovať celý pevný disk a pod.) alebo ich inak zmanipulovať – napr. zašifrovaním celého ob-sahu pevného disku. Ich úlohou môže tiež byť zníženie dostupnosti systému (náhodné reštarty operačného systému, simulácia poškodeného hardvéru, . . . ). Iné vírusy zase môžu na napadnutom počítači hromadiť nelegálny materiál, prípadne ho využiť za účelom získavania nelegálneho materiálu a spôsobiť tak napadnutému používateľovi problémy so zákonom (viď str. 340 v [10]). [10]
Trójske kone
Pojem trójsky kôň sa spája s literárnym dielom Odysea gréckeho básnika Homéra. Je to jednoduchý počítačový program skladajúci sa z klientskej a serverovej časti. Serverová časť
3
Botnet– Skupina veľkého množstva malwarom napadnutých počítačov (
”bot“) pripojených do
inter-netu ovládaných z jedného zdroja [22]
4DDoS(Distributed Denial of Service) – Rozsiahle synchronizované útoky na jednu počítačovú sieť alebo
po nainštalovaní sa na napadnutý počítač tajne umožní útočníkovi pristupovať pomocou klientskej časti k tomuto počítaču. [10]
Serverová časť je väčšinou program ukrytý v inom, na prvý pohľad neškodnom, pro-grame. Akonáhle sa tento
”neškodný“ program spustí, nainštaluje sa serverová časť
trój-skeho koňa bez vedomia používateľa. Taký trójsky kôň môže mať množstvo rôznych funkcií závisiacich od povahy daného programu. Môže napríklad reštartovať napadnutý počítač, odosielať z neho používateľove súbory, spúšťať iné programy, ničiť dáta, zaznamenávať a odosielať stlačené klávesy, atď. [10]
Trójske kone ale potrebujú počúvať na nejakom porte, aby sa k nim klientská časť mohla pripojiť. Preto pri použití správne nastaveného firewallu je možné hrozbu, ktorú predstavujú celkom úspešne eliminovať. Správne napísaný trójsky kôň, ktorý ešte nebol zverejnený môže totiž antivírusový program ľahko prehliadnuť. Firewall je preto účinný prostriedok na zamedzenie škôd spôsobených trójskymi koňmi [10].
Spyware
Pod pojmomspyware sa označuje akákoľvek počítačová technológia slúžiaca k získaniu in-formácií o nejakej osobe alebo organizácii bez ich vedomia a súhlasu. Spyware môže byť nainštalovaný na počítač niekoľkými skrytými spôsobmi. Môže byť napríklad súčasťou počí-tačového vírusu alebo iného programu nainštalovaného samotným používateľom. Spyware môže taktiež existovať ako samostatný program ktorý je potrebné na cieľovom počítači ručne nainštalovať. [8] Akýkoľvek program odosielajúci dáta z počítača, v ktorom je na-inštalovaný, bez súhlasu používateľa je považovaný za spyware [25].
Spyware sa často používa na získavanie rôznych informácií ako sú napríklad zoznam stlačených kláves (získavanie hesiel), zoznam navštívených webových stránok, zoznam na-inštalovaných programov, verzia operačného systému a pod. Tieto programy môžu taktiež získavať kontakty, údaje kreditných kariet a iné osobné informácie uložené v napadnutom počítači. [8]
Adware
Zaadwaresa vo všeobecnosti považuje softvér, ktorý do počítača sťahuje reklamy a následne ich zobrazuje. Tieto programy môžu reklamy zobrazovať buď náhodne, alebo tie dokona-lejšie môžu sledovať aktivitu používateľa (navštívené webové stránky a pod.) a ponúkať mu predovšetkým cielenú reklamu. [25]
Niektoré z týchto programov sa do počítača dostávajú vo forme vírusov alebo trójskych koní – takéto programy možno definitívne považovať za adware. Iné programy spadajúce do tejto kategórie si ale používateľ často inštaluje sám a úplne dobrovoľne. Sú to väčšinou programy ponúkané zadarmo a reklamy sú ich súčasťou ako cena za ich používanie. Často sa napríklad stáva, že práve adware je maskovaný ako softvér slúžiaci na vyhľadanie a odstránenie škodlivých programov v počítači (viď PurityScan5). [25]
3.1.2 Spam
Definitívne najrozšírenejšou hrozbou, ktorá sa rozšírila hlavne v posledných rokoch je ne-vyžiadaná pošta, t. j.spam. Spam totiž momentálne predstavuje drvivú väčšinu e-mailovej komunikácie, čo je naozaj veľmi alarmujúce. Neustále sa nasadzujú nové riešenia v boji
5
proti nevyžiadanej pošte a aj napriek jej značnému poklesu v posledných dvoch rokoch je toto číslo stále príliš vysoké.
Za spam sa považuje predovšetkým nevyžiadaná reklamná pošta rozposielaná hromadne veľkému množstvu príjemcov bez toho, aby o ňu žiadali [1]. Definícií spamu je niekoľko:
• Medzi spam jednoznačne patria automaticky zasielané správy množstvu adresátom, ktorí si ich neobjednali a nemajú možnosť si ich sami zrušiť. Tieto správy spravidla pochádzajú zo zahraničia, sú písané v najrôznejších jazykoch (prevláda angličtina) a ponúkajú najrôznejšie produkty (nelegálny software, lieky, a pod.). Tieto správy chodia často opakovane tým istým príjemcom. [1]
• Inou, menej agresívnou, formou spamu sú väčšinou jednorázovo a ručne zasielané po-nuky od rôznych českých či slovenských firiem. Odber týchto správ sa väčšinou dá spoľahlivo zrušiť a každý seriózny obchodník takúto požiadavku používateľa rešpek-tuje [1]. Takéto ponuky môžu byť pre niektorých používateľov často aj užitočné a preto je ich označovanie za spam celkom individuálne.
• Za tzv. spamovanie možno označiť aj preposielanie rôznych reťazových správ, ktoré nenesú žiadny informatívny, či inak užitočný obsah. Takéto správy sa šírili hlavne v minulých rokoch a momentálne už ich výskyt upadá.
3.1.3 Phishing
Phishing je forma sociálneho inžinierstva, pri ktorej sa útočník snaží podvodom vylákať tajné alebo citlivé údaje od používateľa. Podvod spočíva v napodobnení elektronickej ko-munikácie (e-mailová správa) od dôveryhodnej alebo verejnej organizácie. Používateľ je následne zo správy odkázaný na podvodnú stránku, ktorá náramne pripomína, prípadne je úplne rovnaká ako originálna stránka. Táto napodobenina originálnej stránky slúži na vy-lákanie citlivých údajov od používateľa, ako sú napríklad prihlasovacie meno a heslo, údaje platobných kariet, atď. [12] Používateľ, ktorý si nevšimne že sa nenachádza na skutočnej stránke, v snahe prihlásiť sa do svojho konta zadá svoje prihlasovacie údaje, ktoré sa na podvodnej stránke iba uložia. Následne môže byť používateľ presmerovaný na originálnu stránku, a preto vôbec nemusí zaregistrovať, že sa stal obeťou phishingu.
Typy phishingových útokov
Existuje množstvo rôznych spôsobov ako vykonať útok pomocou phishingu. Stále vznikajú novšie a sofistikovanejšie metódy, voči ktorým je potreba účinne sa brániť. Phisheri sú väčši-nou skúsení profesionáli, ktorí presne vedia ako na bezbranných a nevedomých používateľov zaútočiť. Majú dostatočné zdroje a môžu si dovoliť investovať čas a peniaze k vytvoreniu premyslených útokov. Málokrát sa stáva, aby takéto útoky vykonávali amatéri. [12]
Útok pomocou jednej konkrétnej metódy je málo pravdepodobný. Častejšie sa pou-žíva kombinácia rôznych metód pre dosiahnutie čo najväčšej efektivity útoku. Príkladom použitia kombinovaného útoku môže byť podvodný e-mail, ktorý odkáže používateľa na infikovanú stránku. Táto stránka následne nainštaluje na používateľov počítač jednodu-chý malware. Tento malware po tom ako sa spustí, pozmení obsah súboru hosts6 a pridá do neho záznam, ktorý pre nejakú potencionálne kritickú stránku (napr. stránka banky)
6
Súbor hosts – súbor operačného systému obsahujúci preklady DNS názvov na IP adresy, ktoré sa použijú prioritne bez kontaktovania DNS servera.
vráti namiesto správnej IP adresy IP adresu iného servera, na ktorom sa nachádza pod-vodná verzia originálnej stránky. Následne, keď sa nič netušiaci používateľ pokúsi prihlásiť do svojho internetového bankovníctva, zadá do internetového prehliadača adresu banky a miesto originálnej stránky sa mu zobrazí tá podvodná. To všetko napriek tomu, že adresa v prehliadači je správna. [12]
3.2
Ochrana e-mailovej komunikácie na strane používateľa
U používateľa je najúčinnejšou formou ochrany obozretnosť a dodržovanie základných pra-vidiel bezpečného surfovania na internete:
• Neotvárať prílohy a neklikať na odkazy v e-mailoch od neznámych ľudí či organizácií. Obzvlášť ak ide o správy predovšetkým v anglickom jazyku ponúkajúce rôzne lieky, pornografiu a iné nevyžiadané produkty.
• Na webových stránkach neklikať na rôzne podozrivé reklamy sľubujúce napríklad pe-niaze alebo produkty zadarmo.
• Pravidelne si aktualizovať operačný systém aj aplikácie nainštalované v počítači.
• Používať zložité heslá a mať rôzne heslá pre rôzne služby. Minimálne je dôležité re-gistrovať sa na stránkach pod iným heslom ako je heslo do e-mailovej schránky ktorej adresu pri danej registrácii taktiež uvádzame. Je dobré mať dôležitejšie heslá (zvlášť heslo pre prihlasovanie na počítač, zvlášť pre e-mailovú schránku a pod.) a menej dôležité heslá (pre rôzne jednorázové registrácie na menej dôležitých webových strán-kach) a aspoň tie dôležité pravidelne obmieňať za nové.
• Mať nainštalovanýfirewall a povoľovať v ňom iba aplikácie, ktoré poznáme a o ktorých vieme, že k svojej činnosti potrebujú prístup do internetu.
Nemenej dôležité je aj použitie kvalitného antivírusového softvéru. Väčšina moderných an-tivírusových programov disponuje rôznymi rozšíreniami, ktoré spolupracujú priamo s poš-tovými klientmi a umožňujú tak účinnú ochranu proti malwaru, spamu a ďalším hrozbám. Je nepísaným pravidlom, že za dobré a kvalitné veci sa platí, preto je dobré antivírusovú ochranu nepodceniť a za kvalitný softvér si radšej zaplatiť.
Samozrejme nestačí mať antivírusový softvér zakúpený a nainštalovaný, je veľmi dôležité zabezpečiť, aby mal vždy aktuálnu databázu definícií. Bez najnovších aktualizácií totiž aj ten najkvalitnejší antivírusový program môže byť ľahko prekonateľný najnovším škodlivým softvérom. Antivírusové programy chránia používateľov v prípade že si e-maily čítajú po-mocou poštových klientov nainštalovaných lokálne v počítači, no aj v prípade, že si poštu prezerajú online, pomocou webového prehliadača.
V prípade lokálnych poštových klientov pracujú antivírusové programy väčšinou vo forme rozširujúceho modulu, ktorý automaticky kontroluje všetky prijaté aj odoslané správy. Z infikovaných správ následne odstraňujú nebezpečné prílohy, filtrujú spam a správy podozrivé z phishingu.
V prípade klientov pracujúcich online priamo vo webovom prehliadači sú možnosti ochrany na strane používateľa čiastočne obmedzené. V tomto prípade je možné kontro-lovať iba prílohy správ, a aj tie iba vtedy, ak sa ich používateľ rozhodne stiahnuť do svojho počítača. V takom prípade antivírusové programy väčšinou sťahovanie infikovanej prílohy
zablokujú. Ochrana proti spamu a phishingu je v tomto prípade prakticky nemožná, no dá sa veľmi efektívne realizovať na strane servera (viď 3.3).
Firewall nainštalovaný v počítači klienta má kľúčovú funkciu hlavne vtedy, ak je už počítač nakazený malwarom. Správne nakonfigurovaný firewall totiž nedovolí hociktorej aplikácii aby komunikovala s okolím a tým efektívne zabraňuje šíreniu malwaru na ďalšie počítače [23]. Veľký význam má hlavne vo firemných sietiach, kde sa malware môže z jedného nakazeného počítača veľmi rýchlo rozšíriť na ostatné počítače nachádzajúce sa v rovnakej sieti a spôsobiť tým firme nemalé škody.
3.3
Ochrana e-mailovej komunikácie na strane servera
Množstvo antivírusových programov sa vyvíja aj vo verziách pre servery. Tieto programy následne umožňujú kontrolovať a filtrovať e-maily už na serveri ešte pred tým, než sa do-stanú k používateľovi. Kontrola e-mailových správ priamo na serveri je dôležitá hlavne vtedy, ak si používatelia prezerajú e-maily cez webové rozhranie. Vtedy totiž nie je možné filtrovať spam a iný nevhodný obsah pomocou antivírusového programu nainštalovaného v počítači klienta a je potrebné takúto kontrolu vykonávať už na serveri. Antivírusová ochrana sa môže do poštového servera integrovať buď ako rozširujúci modul (plugin) alebo formou proxy-servera (viď kapitola 4).
Kontrola e-mailov na strane servera má samozrejme význam aj v prípade, že použí-vateľ sťahuje e-maily do svojho počítača pomocou poštového klienta. V tom prípade sa pošta kontroluje dvakrát, väčšinou rôznymi antivírusovými programami, čo znižuje šancu na preniknutie e-mailu obsahujúceho nevhodný obsah.
Medzi serverovými riešeniami má najväčší význam antispamová ochrana, ktorá pri správnej konfigurácii dokáže používateľa úplne odbremeniť od spamu a ďalších nežiadu-cich správ. Spam sa väčšinou premiestňuje do špeciálneho adresára, z ktorého sa správy po určitom čase automaticky odstraňujú. To, či sa tento adresár má na počítač používateľa sťahovať spolu s ostatnou prijatou poštou, si už každý používateľ môže nastaviť sám. 3.3.1 Použitie rôznych antivírusových riešení u klientov a na serveroch Aj keď je na klientských počítačoch nasadené kvalitné antivírusové riešenie, je dôležité, aby bolo na serveroch nasadené riešenie od iného výrobcu. Nikdy sa totiž nestáva, aby práve jedno konkrétne antivírusové riešenie malo aktualizácie k novému vírusu ako prvé (viď kap. 3.3.2). [28]
Takéto riešenie teda jednoznačne zvyšuje šancu na zachytenie nového vírusu. Ak príde aktualizácia k novému vírusu do antivírusového programu bežiaceho na serveri, vírus v in-fikovanej e-mailovej správe sa zachytí už tu. Ak sa ale aktualizácia objaví skôr v antivíruso-vom programe bežiacom na klientských počítačoch, vírus sa zachytí až po stiahnutí prijatej e-mailovej správy do e-mailového klienta, no ešte stále včas. [28]
Tento spôsob ochrany samozrejme tiež, tak ako žiadna iná, nechráni na sto percent, no je určite účinnejšia ako používanie rovnakého antivírusového riešenia na klientských počítačoch aj na serveroch.
3.3.2 Viacnásobná antivírusová ochrana
Táto forma antivírusovej ochrany spočíva v nasadení viacerých antivírusových riešení od rôznych výrobcov na ochranu jedného servera. Možno tak dosiahnuť ešte vyšší stupeň
ochrany ako pri riešení spomínanom v kapitole 3.3.1. Hlavne vo veľkých firmách je dôležité nespoliehať sa na včasné aktualizácie jedného konkrétneho antivírusového programu, ale zvýšiť ochranu nasadením viacerých riešení [23].
Za normálnych okolností nie je možné mať na jednom počítači nainštalovaných via-cero antivírusových programov, keďže by jednotlivé programy mohli považovať databázy definícií ostatných za vírusy a odstrániť ich. Existujú však riešenia, ktoré kombináciu vi-acerých antivírusových programov umožňujú (napr. GFI MailSecurity7 v sebe zapuzdruje
až 5 rôznych antivírusových programov).
Viacnásobná antivírusová ochrana pomáha výrazne znížiť čas medzi vypustením vírusu a stiahnutím potrebnej aktualizácie na daný server. Žiadny z dostupných antivírusových riešení totiž nie je vždy jednoznačne najrýchlejší a najefektívnejší [11]. Rýchlosť vydania aktualizácie k novo objavenému vírusu a efektivita jeho nájdenia sa totiž u každého jedného vírusu značne líši. Firme, ktorá k jednému vírusu vydá aktualizáciu ako prvá už behom pár hodín, to pri inom víruse môže trvať aj niekoľko dní (viď tab. 1 a tab. 2 na str. 4 v [11]).
Napriek tomu, že viacnásobná antivírusová ochrana je lepšia ako nasadenie jedného kon-krétneho antivírusového riešenia, je treba mať na pamäti, že nejde o doslova
”viacnásobnú
ochranu“. Päť antivírusových programov totiž neochráni server päť krát viac, iba poskytne päť šancí na zachytenie škodlivého softvéru, ktorý sa snaží do chránenej počítačovej siete preniknúť. Možno to prirovnať k prechodu cez päť bezpečnostných kontrol na letisku. Ka-ždá kontrola je viac-menej rovnaká, no kaKa-ždá prebieha trocha inak a tým sa zvyšuje šanca na zachytenie nechcenej hrozby. [11]
3.4
Ochrana podpisovaním a šifrovaním správ
Ochrana podpisovaním a šifrovaním správ, alebo tzv. end-to-end zabezpečenie umožňuje za-bezpečiť integritu e-mailových správ, prípadne znemožňuje zobrazenie obsahu správ tretím osobám. Používateľa môže čiastočne ochrániť pred phishingom a spamom, no nie pred prenosom malwaru. End-to-end zabezpečenie správy vykonáva odosielateľ a správa ostáva zabezpečená počas celej cesty až k adresátovi bez toho, aby jej zabezpečenie mohol niekto počas cesty porušiť [7]. Správy môžu byť zašifrované celé, takže ich obsah nie je možné prečítať v prípade odchytenia správy treťou osobou. Táto možnosť je síce bezpečnejšia, no napriek tomu menej využívaná. Druhá možnosť je posielať správy v otvorenej podobe, no s priloženým podpisom, ktorý zabezpečuje integritu správy a chráni pred jej modifikáciou treťou osobou.
Podpisovanie e-mailových správ spočíva v použití súkromných a verejných kľúčov. Odo-sielateľ podpisuje správu pomocou svojho súkromného kľúča a to tak, že sa vytvorí hash správy a ten sa pomocou súkromného kľúča zašifruje a priloží do tejto e-mailovej správy. Ad-resát po prijatí e-mailovej správy nezávisle vypočíta jej hash a porovná s hashom získaného dešifrovaním podpisu priloženého v prijatej správe pomocou verejného kľúča odosielateľa. [7]
Pri šifrovaní e-mailových správ sa často používa tzv. elektronická obálka. Svoje opod-statnenie má pri použití asymetrickej kryptografie (šifrovanie pomocou súkromného a ve-rejného kľúča), ktorá je pri šifrovaní dlhých správ príliš pomalá. Preto sa správa najprv zašifruje pomocou symetrickej kryptografie (šifrovanie aj dešifrovanie jedným spoločným kľúčom) použitím náhodne vygenerovaného tajného kľúča. Tento kľúč sa následne asymet-ricky zašifruje pomocou verejného kľúča adresáta správy a vloží sa do elektronickej obálky.
7
Adresát potom dešifruje šifrovací kľúč pomocou svojho súkromného kľúča a pomocou získa-ného kľúča dešifruje aj samotnú e-mailovú správu. Takýto postup je výhodný aj v prípade, že má správa viac adresátov. V tom prípade sa náhodný kľúč použitý k symetrickému šif-rovaniu správy zašifruje asymetricky toľko krát, koľko má správa adresátov. Pre každého adresáta sa na šifrovanie náhodného kľúča použije jeho verejný kľúč. Všetky kľúče sa potom vložia do elektronickej obálky. [7]
Šifrované (podpísané) správy si teda medzi sebou môžu posielať iba osoby, ktoré sa na tom dopredu dohodnú a vymenia si svoje verejné kľúče. V praxi je napríklad možné pou-žívať podpisovanie správ pri komunikácii v rámci firmy, či s bankou alebo iným subjektom s ktorým sa vymieňajú citlivé údaje. No nič nebráni v používaní šifrovanej komunikácie aj v e-mailoch osobného charakteru.
Proti phishingu je možné sa chrániť napríklad tak, že sa dva subjekty (napr. zamestnanci firmy) medzi sebou dohodnú, že budú všetky správy povinne podpisovať a nepodpísané správy nebudú považovať za vierohodné. Ak teda jednému zamestnancovi dorazí nepod-písaná správa, v ktorej ho druhý zamestnanec žiada o zaslanie citlivých údajov, môže ju považovať za podozrivú a jej pravosť si u druhého zamestnanca overiť. Potenciálny útočník totiž privátny kľúč druhého zamestnanca k dispozícii nemá a nemôže preto správu, v kto-rej sa tvári ako on, právoplatne podpísať. V praxi sa takáto situácia často rieši firemnými politikami, ktoré vyslovene zakazujú výmenu citlivých informácií (napr. prístupové mená a heslá na servery) prostredníctvom e-mailu a zamestnanci k nim majú prístup napríklad cez patrične zabezpečené firemné úložisko. No aj napriek tomu podpisovanie či šifrovanie e-mailových správ svoje praktické uplatnenie nájde. Každé bezpečnostné opatrenie, ktoré používateľov príliš nezaťažuje je totiž užitočné a znižuje riziko potenciálneho útoku na počítač používateľa či celú firemnú sieť.
Možností šifrovania a podpisovania e-mailových správ je niekoľko. V minulosti existo-vali protokoly PEM a MOSS, no v poslednej dobe sa rozšírili predovšetkým protokoly
S/MIME a OpenPGP, pričom jasným favoritom sa ukazuje práve protokol S/MIME [7, 15]. Žiaľ, ani jeden z nich nie je príliš rozšírený medzi ľudmi so základnými počítačovými znalosťami [4]. Najväčším problémom je, že pri šifrovaní e-mailovej komunikácie je potrebné aby k tomu aktívne prispel samotný používateľ, pričom napríklad pri šifrovaní webovej ko-munikácie pomocou SSL certifikátov zariadi všetko webový server a webový prehliadač používateľa [4]. Väčšia zložitosť má samozrejme svoje opodstatnenie. Pri šifrovaní webovej komunikácie sa používateľ väčšinou nezaujíma o identitu druhej strany (neplatí pri pou-žívaní internet bankingu a podobných citlivých stránok), no pri e-mailovej komunikácii je overenie a potvrdenie identity odosielateľa správy kľúčové [4].
3.4.1 Protokol S/MIME
Protokol S/MIME sa najviac rozšíril predovšetkým kvôli jeho natívnej podpore v množstve e-mailových klientov. Je založený na infraštruktúre PKI, kde sú verejné kľúče používateľov podpísané certifikačnou autoritou, ktorej odosielateľ aj adresát zabezpečenej e-mailovej správy dôverujú. Aj vďaka natívnej podpore e-mailových klientov je teda jeho použitie pri šifrovaní e-mailových správ oproti konkurenčnému OpenPGP relatívne jednoduché.
Protokol S/MIME disponuje troma ľubovoľne kombinovateľnými funkciami použiteľ-nými na zabezpečenie e-mailových správ. Správy umožňuje digitálne podpisovať, šifrovať ich celý obsah a taktiež komprimovať. Použiť ich je síce možné v ľubovoľnom poradí, no je dobré nasadzovať ich v správnom poradí tak, aby bol výsledok čo najefektívnejší. Ide-álne je preto správu najprv komprimovať, následne zašifrovať a nakoniec ešte elektronicky
podpísať. Efektívna je samozrejme aj kombinácia, kde sa po komprimácii najprv podpisuje až potom šifruje obsah správy. V druhom prípade ale nie je možné podpis správy automa-ticky verifikovať bez jej predošlého dešifrovania a sprístupnenia jej obsahu, čo nie je príliš praktické v prípade hromadného automatického overovania podpisov prijatých e-mailových správ. [7]
3.4.2 Protokol OpenPGP
Narozdiel od protokolu S/MIME, OpenPGP používa decentralizovanú správu dôveryhod-nosti verejných kľúčov a nepotrebuje preto certifikačné autority. Používatelia si svoje verejné kľúče podpisujú vzájomne a vytvára sa tým veľká sieť ľudí, ktorí si navzájom dôverujú (tzv.
”Web of Trust“). [15]
Podobne ako S/MIME aj OpenPGP umožňuje e-mailové správy nielen digitálne pod-pisovať ale aj šifrovať. OpenPGP sa okrem zabezpečenia obsahu e-mailových správ často používa aj na šifrovanie súborov na disku, prípadne existujú nástroje8, ktoré pomocou
tohoto protokolu dokážu zašifrovať aj celý obsah pevného disku.
Web of Trust
Web of Trust je sieť ľudí, ktorí používajú protokol OpenPGP na šifrovanie a podpisovanie svojich správ a súborov. Títo používatelia si navzájom zabezpečujú dôveryhodnosť svojich verejných kľúčov. Každý používateľ podpíše kľúč tým používateľom, ktorých pozná, dôveruje im a vie dosvedčiť, že ide naozaj o toho používateľa, za ktorého sa daný používateľ vydáva a že údaje uvedené v jeho kľúči sú pravdivé. Každý používateľ má teda aj svoj kľúč podpísaný od ľudí, ktorí ho poznajú a dôverujú mu.
V prípade, že používateľovi A dorazí digitálne podpísaná e-mailová správa od iného používateľaB, ktorého on síce nepozná, ale jeho kľúč je podpísaný používateľomCktorého používateľA(príjemca správy) pozná a dôveruje mu, tak používateľAvie, že používateľB je ten za koho sa vydáva a môže mu dôverovať, lebo mu dôveruje aj používateľC. Takto to funguje aj v prípade vzdialenejších vzťahov, kedy jeden používateľ môže dôverovať druhému, ktorého nepozná priamo on, ani žiadny z jeho známych, no pozná ho a dôveruje mu napr. známy jeho známeho. [15]
8
Kapitola 4
Ochrana e-mailovej komunikácie
pomocou SMTP proxy-servera
Ochrana e-mailovej komunikácie pomocou SMTP proxy-servera predstavuje veľmi efektívne a hlavne univerzálne riešenie použiteľné v kombinácii s hociktorým poštovým serverom. Proxy-server sa totiž neintegruje priamo do poštového servera, ale predstavuje medzičlá-nok, ktorý komunikuje s externými klientmi a následne prijaté správy preposiela na ďalšie spracovanie do poštového servera. Proxy-server teda maskuje skutočný poštový server [2] a tým výrazne znižuje šancu jeho napadnutia hackermi alebo škodlivým softvérom.
Okrem odbremenenia poštového servera od priamej komunikácie s externými klientmi SMTP proxy-server slúži často aj na filtrovanie spamu, malwaru a ďalších hrozieb [2]. Túto úlohu môže vykonávať buď sám pomocou zabudovaného antivírusového riešenia, alebo po-mocou externej služby, ktorej sa jednotlivé správy predajú na kontrolu. Činnosti vykonávané proxy-serverom pri filtrovaní e-mailov sú podrobnejšie popísané v kapitole 4.3.
4.1
Možnosti nasadenia SMTP proxy-servera
SMTP proxy-server môže byť nasadený na ochranu poštového servera dvomi spôsobmi. Ten prvý, jednoduchší, no súčasne menej bezpečný spôsob je, že proxy-server beží na jednom fyzickom serveri spolu s poštovým serverom. Takéto riešenie je vhodné hlavne v ma-lých počítačových sietiach s minimálnym bezpečnostným ohrozením. V tomto prípade slúži proxy-server iba na zamedzenie priameho prístupu na poštový server z vonkajšej siete.
Druhý spôsob si vyžaduje nasadenie dvoch fyzických serverov. Jeden je vyhradený pre proxy-server a na druhom beží samotný poštový server. Toto riešenie je síce nákladnejšie, no oveľa bezpečnejšie. Okrem výhod ktoré ponúka prvé riešenie, navyše chráni poštový server pred napadnutím napríklad DoS/DDoS útokom, prípadne inými hrozbami, ktoré by mali za následok pád poštového servera. Týmto hrozbám totiž čelí iba proxy-server, no ten neobsahuje žiadne e-mailové správy ani iné dáta, ktoré by sa mohli stratiť alebo poškodiť. Reálne sa nasadenie SMTP proxy-serverov kombinuje s tzv. demilitarizovanou zónou (DMZ). Ide o sieť, ktorá sa nenachádza ani v internej, ani v externej sieti, ale na ich rozhraní. Vytvorenie takejto siete musí byť podporované na firewalle, ktorý je na ochranu internej siete použitý. Pravidlá firewallu sú nastavené tak, aby sa do DMZ dalo dostať z externej aj internej siete, no z DMZ sa do internej už dostať nedalo a komunikácia z DMZ do internej siete musela prechádzať výhradne cez firewall [6]. SMTP proxy-servery sa často umiestňujú práve do DMZ kde sa na nich pripájajú klienti z externej siete a skontrolované
správy sa následne cez firewall preposielajú na poštový server umiestnený v internej sieti.
4.2
Výhody a nevýhody použitia SMTP proxy-servera
Jednoznačnou a jednou z najväčších výhod nasadenia SMTP proxy-servera je zvýšenie bez-pečnosti e-mailovej komunikácie v počítačovej sieti. Proxy-server totiž slúži ako
”vstupná
brána“ k poštovému serveru a navonok nevidno, čo sa za ňou nachádza. Potenciálny útoč-ník preto nemá možnosť dostať sa priamo k poštovému serveru a kompromitovať ho. Za proxy-serverom môže byť umiestnených aj viacero serverov, ktoré si medzi sebou rozdeľujú záťaž. Navonok sa ale všetky javia ako jeden (vidno iba proxy-server). V prípade útoku je teda ohrozený iba proxy-server, no ten zvyčajne pri aplikácii správnych bezpečnostných opatrení žiadne dôležité dáta neobsahuje. Preto prípadné odstavenie proxy-servera spôsobí iba minimálne škody formou nedostupnosti služieb, no nestratia sa, ani neuniknú žiadne dôležité dáta.
Ďalšou výhodou je univerzálnosť a nezávislosť ochrany. SMTP proxy-server predstavuje samostatnú jednotku, ktorá je schopná spolupracovať s každým poštovým serverom. Dokáže relatívne jednoducho filtrovať e-mailové správy, ktoré ním prechádzajú, odstraňovať z nich vírusy, prípadne na ne v predmete alebo v tele správy upozorňovať. Možno ho taktiež pou-žiť na filtrovanie akéhokoľvek nevhodného obsahu e-mailových správ, na filtrovanie adries odosielateľa čí príjemcov. V prípade poruchy je možné proxy-server jednoducho vymeniť bez potreby akýchkoľvek zásahov do samotného poštového servera.
Nevýhodou je potreba vyhradiť pre STMP proxy-server samostatný fyzický server. Táto investícia je ale vzhľadom k miere prínosu k zvýšeniu bezpečnosti siete maximálne výhodná. SMTP proxy-server môže samozrejme bežať aj na rovnakom fyzickom serveri ako samotný poštový server ktorý chráni. Cena takejto realizácie je oveľa nižšia ako realizácia pomocou samostatného fyzického servera, no z hľadiska bezpečnosti chráni takáto realizácia poštový server iba symbolicky. V tomto prípade je použiteľný iba na ochranu e-mailových správ pred vírusmi a spamom, čím ale zostáva nevyužitý jeho značný potenciál.
4.3
Možnosti filtrovania prechádzajúcich e-mailových správ
na proxy-serveri
Ako už bolo v kapitole 4.2 spomínané, SMTP proxy-server predstavuje univerzálne riešenie schopné spolupracovať s akýmkoľvek poštovým serverom. E-mailové správy prechádzajúce cez neho môže ľubovoľne modifikovať – pozmeniť napríklad ich predmet, text, prílohy či príjemcov správy. To z neho robí mohutný nástroj s na prvý pohľad nebezpečnými funkci-ami, ktoré ale pri správnom nasadení a správnej konfigurácii SMTP proxy-servera žiadne nebezpečenstvo nepredstavujú. Naopak, tieto funkcie sú nesmierne užitočné a nevyhnutné pre plnohodnotnú ochranu používateľov a samotného poštového servera pred e-mailovými správami so škodlivým obsahom (pre podrobnejšie informácie o škodlivom obsahu vysky-tujúcom sa v e-mailových správach viď kap. 3.1).
4.3.1 Riešenie prítomnosti škodlivého obsahu v e-mailovej správe
Po identifikácii škodlivého obsahu v kontrolovanej e-mailovej správe má SMTP proxy-server niekoľko možností ako sa zachovať. Ak je nájdená hrozba identifikovaná ako malware, je najbezpečnejšie ju zo správy odstrániť. Môže sa jednať o prílohu kontrolovanej e-mailovej
správy alebo odkaz na webovú stránku obsahujúcu danú hrozbu. Odstránenie hrozby je teda veľmi jednoducho realizovateľné, no takéto riešenie môže mať aj svoje nevýhody. Príloha správy, či odkaz v nej môže totiž byť označený za potenciálnu hrozbu aj omylom. Žiadny antivírusový softvér totiž nie je dokonalý, a môže hrozbu identifikovať nesprávne. V tom prípade by teda došlo k odstráneniu neškodného obsahu správy, ktorý mohol byť pre prí-jemcu dôležitý. Je preto dôležité aby sa odstránenie prílohy alebo iného obsahu e-mailovej správy patrične indikovalo v tele alebo v predmete správy. Taktiež je veľmi užitočné, ak má príjemca správy možnosť sa k odstránenému obsahu dostať ak je presvedčený o tom, že tento obsah je bezpečný. To je možné riešiť napríklad dočasným umiestnením odstrá-neného obsahu na zabezpečený webový server a poskytnutím unikátneho odkazu na jeho stiahnutie v tele modifikovanej e-mailovej správy. Aj kvôli týmto dôvodom sa škodlivý obsah z e-mailových správ často neodstraňuje, iba sa upozorní na jeho prítomnosť v tele správy alebo v jej predmete a záleží len na používateľovi, ako s daným obsahom naloží.
V prípade nasadenia sofistikovanejšieho SMTP proxy-servera disponujúcim dokona-lejším antivírusovým riešením či rozšírením, je možné prílohy infikované malwarom aj automaticky liečiť. V takomto prípade proxy server odovzdá infikovaný súbor z prílohy antivírusu, ten, ak je to možné, z neho odstráni malware a vyliečený súbor vráti proxy ser-veru, ktorý ním pôvodnú prílohu e-mailovej správy nahradí. Na takýto krok je ale vhodné tiež adresáta upozorniť a to buď v texte alebo v predmete kontrolovanej e-mailovej správy. V prípade iných hrozieb ako sú napríklad spam či phishing má SMTP proxy server dve možnosti. Takúto správu môže jednoducho zahodiť a ďalej ju už nepreposielať alebo na prítomnosť hrozby v správe iba upozorniť. Upozorniť na hrozbu môže podobne ako v prípade malwaru buď indikáciou v predmete správy alebo v jej tele. Ideálne je upozornenie umiestniť do predmetu e-mailovej správy, keďže ju potom používateľ nemusí vôbec otvárať a pri väčšom množstve takýchto správ mu to ušetrí množstvo času.
Jedna z univerzálnych funkcií aplikovateľných na všetky e-mailové správy prechádzajúce SMTP proxy-serverom je ich preposielanie. Proxy-server má v tomto prípade niekoľko mož-ností. Z e-mailovej správy môže odstrániť všetkých adresátov a preposlať ju iba na jednu preddefinovanú adresu alebo môže pôvodných príjemcov v e-mailovej správe ponechať a na preddefinovanú adresu doručiť iba kópiu tejto správy. Preposielanie je možné zase dvomi spôsobmi: server danú správu buď odošle sám pripojením sa na príslušný SMTP server spravujúci e-mailovú adresu, na ktorú sa správa preposiela, alebo túto adresu iba pridá do zoznamu adresátov a o doručenie sa postará poštový server, ktorého správy daný SMTP proxy-server filtruje.
Funkcia preposielania správ SMTP proxy-serverom na inú, preddefinovanú, adresu, je z hľadiska bezpečnosti a súkromia danej e-mailovej komunikácie celkom otázna. Porušuje sa tým súkromie príjemcu tejto e-mailovej správy, keďže sa jej obsah dostáva do rúk tretej osoby. Napriek tomu môže mať takáto funkcia svoje opodstatnenie a pri správnom nastavení SMTP proxy-servera môže byť často veľmi užitočná. SMTP proxy-server môže byť napríklad vo firme nastavený tak, aby všetky e-mailové správy obsahujúce nebezpečný obsah (spam, phishing, malware) preposielal okrem pôvodným adresátom aj administrátorovi firemnej počítačovej siete. Ten môže následne obsah týchto správ analyzovať a včas odhaliť prípadné pokusy o útok na počítačovú sieť či už pomocou malwaru, alebo podvodnej správy (phishig). Takéto e-mailové správy môžu mať za cieľ získanie prístupu k citlivým firemným údajom cez menej skúsených zamestnancov, ktorým sú tieto e-mailové správy odoslané. Administrátor môže pri zistení takejto skutočnosti vykonať potrebné bezpečnostné opatrenia a prípadnému útoku tak efektívne zabrániť.
ad-ries odosielateľa a adresátov správy. Môže obsahovať tzv. čiernu (blacklist) a bielu (whitelist) listinu zakázaných a povolených e-mailových adries. V tom prípade môže napríklad brániť doručovaniu e-mailových správ od odosielateľov, ktorých adresy sa nachádzajú na čiernej listine, či povoliť doručovanie iba od tých, ktorých adresy sú na bielej listine. Podobné zoznamy môžu existovať aj pre e-mailové adresy príjemcov. Zamietnuté e-mailové správy sa následne môžu buď zahadzovať, alebo zase preposielať administrátorovi počítačovej siete, či inej zodpovednej osobe.
Kapitola 5
Realizácia proxy-servera pomocou
AVG Linux Server Edition
Praktickou časťou tejto práce bola realizácia menšej testovacej siete, v ktorej bol nasa-dený proxy-server AVG Linux Server Edition1. Realizácia prebiehala vo virtuálnom prostredí pomocou virtualizačného nástroja VMware Workstation2. Cieľom praktickej časti bolo predovšetkým overenie funkčnosti proxy-servera v spolupráci s poštovým ser-verom Microsoft Exchange Server 2007. Súčasťou toho bolo tiež nájdenie možných problémov spôsobujúcich nekompatibilitu týchto dvoch produktov, ich presná lokalizácia a analýza potenciálnych riešení nájdených problémov. Nakoniec bolo potrebné navrhnúť a poprípade aj naimplementovať najvhodnejšie riešenie.
Vznik tejto práce podnietil už známy problém existujúci medzi týmito dvomi produk-tami. Šlo o nedoručovanie niektorých e-mailových správ, resp. ich doručovanie do spamo-vého koša aj v prípade, že žiadny spam neobsahovali. Jednalo sa o správy, v ktorých AVG proxy-server objavil nežiaduci obsah (spam, malware, phishing) a následne pozmenil ich predmet.
Je síce pravda, že správy obsahujúce spam do spamového koša patria, no nie vždy to platí aj u správ, v ktorých bol identifikovaný malware. Tie by mali byť doručené medzi ostanú poštu s jasne vyznačeným upozornením na identifikovaný malware. Používateľ následne môže sám rozhodnúť o tom, akú dôležitosť bude danému upozorneniu prikladať. Obsah e-mailovej správy totiž mohol byť identifikovaný ako škodlivý aj omylom a preto je niekedy (hlavne v prípade skúsených používateľov) lepšie ponechať konečné rozhodnutie o osude správy priamo na používateľa.
Spomínaný problém môže obmedzovať prácu proxy-servera aj v prípade iných potenci-álnych funkcií nesúvisiacich s vyhľadávaním spamu, malwaru či phishingu. Napríklad, ak by proxy-server obsahoval funkciu na filtrovanie e-mailov na základe odosielateľov, či iných kritérií. E-maily by podľa týchto kritérií mohol zaraďovať do skupín a podľa toho do kto-rej skupiny správa patrí, by bola
”označkovaná“ pridaním značky (názvu skupiny, skratky
skupiny, atď.) do predmetu správy. V prípade
”značkovania“ e-mailových správ, či iných praktických funkcií je teda
za-radenie správy do spamového koša príjemcu maximálne neprijateľné. Presná lokalizácia a následné riešenie tohoto problému je teda veľmi dôležité a boli preto primárnym cieľom praktickej časti tejto práce.
1http://www.avg.com/cz-cs/avg-linux-email-server-edition 2
5.1
Popis produktu AVG Linux Server Edition
AVG Linux Server Edition je balík programov určený pre nasadenie na serveroch s nainšta-lovaným operačným systémom Linux alebo FreeBSD. Jeho účelom je predovšetkým antiví-rusová ochrana e-mailových správ prechádzajúcich serverom, no taktiež ochrana súborového systému servera a jeho ďalších súčastí. Jeho najdôležitejšie komponenty sú nasledovné [3]:
• avgupd– aplikácia slúžiaca na sťahovanie a inštaláciu aktualizácií definícií pre anti-vírusový skener.
• avgcfgctl – aplikácia pre správu konfiguračného súboru. Umožňuje zobraziť a upra-vovať hodnoty jednotlivých nastavení. Taktiež umožňuje export a import všetkých nastavení do/zo súboru.
• avgtcpd – je samotný SMTP proxy-server a skener e-mailových správ ktorým sa aj táto práca zaoberá. Aplikácia počúva na určitom preddefinovanom porte a prijíma e-mailové správy prostredníctvom protokolu SMTP. Správy následne preposiela na kontrolu antivírusovému programu a skontrolované správy preposiela ďalej na pred-definovaný poštový server.
• avgctl – aplikácia spravuje jednotlivé služby obsiahnuté v balíčku. Má na starosti predovšetkým spúšťanie a zastavovanie týchto služieb (napr. avgtcpd).
5.2
Testovacie prostredie
Pre účely testovania bolo použitých niekoľko virtuálnych operačných systémov zapojených do jednej počítačovej siete (viď schéma testovacej počítačovej siete – obr. C.1). Testovacia počítačová sieť bola rozdelená do troch podsietí. Každá podsieť predstavovala jednu doménu (test1.local, test2.local a test3.local) a v nej bol umiestnený jeden poštový server, ktorý v nej spravoval e-mailovú komunikáciu. Aj vďaka virtualizácii bolo možné testovanie relatívne zjednodušiť a výrazne urýchliť. Použité boli nasledovné operačné systémy:
• 2 xWindows Server 2008– poštový server (Microsoft Exchange Server 2007)
• Ubuntu Server 10.04 LTS – poštový server (Postfix 2.8), proxy-server (AVG Linux Server Edition)
• Windows 7 – klientský počítač (Outlook 2007,Mozilla Thunderbird 10) 5.2.1 Zapojenie, nastavenie a činnosť proxy-servera
Proxy-server bol umiestnený do testovacej sietetest1.local(viď obr. C.1).MXzáznamy na serveri DNS boli nastavené tak, aby sa všetka e-mailová komunikácia posielala na proxy-server, kde aplikácia avgtcpd počúvala na porte 25. Proxy-server sa teda pre servery v ostatných podsietiach tváril ako poštový server siete test1.locala spracovával všetky prichádzajúce e-mailové správy. Skutočný poštový server bol pre ostatné servery skrytý a slúžil iba na prijímanie a následné doručovanie e-mailových správ odoslaných lokálnymi klientmi.
Proxy-serveravgtcpdprijaté e-mailové správy posielala automaticky na kontrolu anti-vírusovému programu. Ten v nich vyhľadáva malware a na základe analýzy obsahu správy zisťuje, či správa neobsahuje spam alebo phishing. Výsledky analýzy sa predajú naspäť
